3.11. Ryzyko operacyjne

Przez ryzyko operacyjne mBank rozumie możliwość poniesienia straty wynikającą z nieadekwatnych lub wadliwych wewnętrznych procesów, systemów, błędów lub działań podjętych przez pracownika Banku oraz ze zdarzeń zewnętrznych. Zgodnie z Katalogiem Ryzyka Grupy mBanku S.A., ryzyko operacyjne obejmuje w szczególności następujące podkategorie:

  • ryzyko prawne,
  • ryzyko działania systemów informatycznych,
  • ryzyko kadrowe i organizacyjne,
  • ryzyko bezpieczeństwa,
  • ryzyko braku zgodności.

Ryzyko operacyjne nie obejmuje ryzyka reputacji, jednakże materializacja ryzyka operacyjnego może powodować wzrost ryzyka reputacji.

Organizując proces zarządzania ryzykiem operacyjnym Bank bierze pod uwagę wymogi regulacyjne. Uchwały, a także rekomendacje Komisji Nadzoru Finansowego (w tym zwłaszcza Rekomendacja M) stanowią punkt wyjścia dla przygotowania ram systemu kontroli i zarządzania ryzykiem operacyjnym w Grupie.

Generalną zasadą zarządzania ryzykiem operacyjnym w Banku jest jego minimalizacja – ograniczenie przyczyn występowania zdarzeń operacyjnych, zmniejszanie prawdopodobieństwa ich wystąpienia oraz dotkliwości potencjalnych skutków. Przy podejmowaniu decyzji o akceptowalnym poziomie ryzyka operacyjnego, rozważana jest analiza: koszty vs. korzyści.

Na kontrolę i zarządzanie ryzykiem operacyjnym składa się zbiór działań mających na celu identyfikację, monitorowanie, pomiar, ocenę, raportowanie, a także redukcję, unikanie, transfer lub akceptację ryzyka operacyjnego, na które Bank jest narażony w poszczególnych obszarach działalności. Podstawą są metody oraz narzędzia ilościowe i jakościowe, służące kontroli ryzyka operacyjnego. Narzędzia stosowane przez Bank zmierzają do ukierunkowanego na przyczynę zarządzania ryzykiem operacyjnym oraz koncentrują się na podejściu oddolnym w celu identyfikacji ryzyka (bottom-up approach).

Celem narzędzi jakościowych jest ustanowienie w ramach Banku i Grupy mBanku spójnej oceny jakościowej czynników środowiska wewnętrznego i zewnętrznego mających wpływ na proces zarządzania ryzykiem operacyjnym.

Podstawowym narzędziem jakościowym jest samoocena systemu kontroli wewnętrznej wykonywana przez jednostki organizacyjne Banku. Przedstawia ona ocenę poziomu ryzyka operacyjnego dla Banku, a także dla poszczególnych procesów i jednostek organizacyjnych. Od 2014 roku w Banku rozpoczął się proces zastępowania funkcjonujących dotychczas Ankiet Oceny Środowiska Biznesowego procesem Samooceny Efektywności Zarządzania Ryzykiem, który pozwoli na identyfikację i ocenę najważniejszych ryzyk operacyjnych i mechanizmów kontrolnych w Banku, a następnie opracowanie i wdrożenie niezbędnych planów działań naprawczych. Na potrzeby Samooceny  wyodrębniono listę kluczowych procesów w Banku, które pokrywają cały obszar jego działalności. W 2014 roku został zakończony pierwszy etap wdrażania i rozpoczął się drugi etap wdrożenia Samooceny dla pozostałych kluczowych procesów, który zostanie zakończony w połowie 2015 roku. Po pełnym wdrożeniu procesu w Banku zostanie rozważona możliwość rozszerzenia Samooceny na spółki Grupy. Do tego czasu w spółkach będą nadal funkcjonowały Ankiety Oceny Środowiska Biznesowego.

Ponadto w celu kontroli ryzyka operacyjnego Bank prowadzi rejestr zdarzeń i strat operacyjnych Grupy, zbiera i monitoruje kluczowe wskaźniki ryzyka, a także tworzy i analizuje scenariusze ryzyka operacyjnego w celu identyfikacji zdarzeń, które potencjalnie mogą spowodować bardzo duże straty o charakterze operacyjnym. Jednocześnie utrzymywana jest komunikacja z wszystkimi obszarami działania Banku (zarówno obszarami biznesowymi, jak również wsparcia) w celu monitorowania i podjęcia działań zapobiegawczych w momencie zasygnalizowania ryzyka krytycznych zdarzeń w jakimkolwiek obszarze działania.

Zdecydowana większość strat operacyjnych Banku dotyczy linii: działalność dealerska, bankowość komercyjna, bankowość detaliczna.

W podziale strat na kategorie ryzyka, największe starty Bank ponosi z tytułu trzech kategorii ryzyka operacyjnego: przestępstw popełnionych przez osoby z zewnętrz; realizacji, dostawy i zarządzania procesem oraz klienci, produkty i praktyki biznesowe.